编辑/更新
所以我认为让我感到困惑的是:
LEA ESI, [EBX + 8*EAX + 4]
加载一个地址,但是:
LEA ESI, [EBX + 4]
加载内容(值?)而不是地址。这怎么不是取消引用?
我也不知道是什么
mov [eax+1], ecx
是吗?
原始问题
我正在努力学习阅读汇编,但我开始挣扎了。抱歉,如果有拼写错误,我无法从我的实验室机器上复制。这是来自恶意代码,因此它可能不是最佳的。
我想我在某处理解有缺陷,但我就是想不通。
var_30 = byte ptr -30h
lea eax, [ebp+esi+var_30]
我的理解是,加载有效地址将成为从 [basepointer-30h+esi] 计算出的任何地址。我不知道 esi 或 edi 是什么。
lea ecx, [esi+edi]
lea ebx, [esi+6]
所以我相信 ebx 是 esi + 6 字节的结果地址?
mov esi, ds:WriteProcessMemory
esi 指向 WriteProcessMemory API 调用
mov byte ptr [eax], 68h
我认为将指令 PUSH 放入 eax 的地址(当前为 [basepointer-30h+esi]
mov [eax+1], ecx
我相信 ecx,现在是 [esi+edi] 的地址,包含给 PUSH 指令的参数。这是否意味着 eax+1 现在指向内容 ecx([esi+edi]] 中的内容?
mov byte ptr [eax+5], 0C3h
我认为这会将指令 RET 放入地址 [eax+5]。
lea eax, [epb+var_30]
无论 esi 是什么,这基本上都会将 eax 向后/向前移动,但我不确定为什么?
push [ebp+lpBaseAddress]; lpBaseAddress
push 0FFFFFFFFh; hProcess (-1 = this process)
call esi
让我困惑的是:
ebx 被用作nSize 的参数,但为什么内容的长度会存储在地址[esi+6] 处?我最初认为它是 +6,因为它可能是“PUSH arg RET (eax to eax+5)”的长度,但它是一个地址而不是一个短整数。 short int (nSize) 是否由先前的子程序放置在该地址?
为什么 eax(lpBuffer - 要写入的内容)现在位于 [eax-30h]。 esi是不是分配了空间,而是从末尾开始写内容?像这样的东西:
ebp+var_30+esi (eax, start of buffer address) : PUSH(eax) : arg(eax+1) RET(eax+5) : ebp+var_30 (new eax, end of buffer address)?
我不认为我完全理解 esi 或 edi 在做什么,但我没有完整的代码来计算它们是什么。
谢谢
最佳答案
处理您的编辑
如果您对 LEA 感到困惑,可以这样想:
So I think what confuses me is that:
LEA ESI, [EBX + 8*EAX + 4]
从技术上讲,指令并不关心它是否是地址(此外,在平面内存中,寄存器中的所有内容都可以是地址)。
采取以下先决条件:
然后计算出源:
[EBX + 8*EAX + 4] = 2 + 8 * 1 + 4 = 2 + 8 + 4 = 14将结果移入ESI:
LEA ESI, [EBX + 8*EAX + 4] ; ESI = 14(EBX = 2;EAX = 1)LEA ESI, [EBX + 4] Loads the content (value?) and not an address. How is this not dereferencing?
这里也是一样。假设 EBX = 2,您最终得到 ESI = 6。
I am also still not sure what mov [eax+1], ecx does?
取EAX的值然后加1;现在这个值 (eax + 1) 是一个指针,您将在该指针处存储 ECX 中的 32 位(假设没有大小覆盖)值。
简单的例子:
现在,计算:EAX + 1 = 0x8001
ECX 的值(2;作为 32 位值)存储在地址 0x8001。 0x8000 0x8001 0x8002 0x8003 0x8004 0x8005
+-----+ +-----+ +-----+ +-----+ +-----+ +-----+
... | ?? | | 02 | | 00 | | 00 | | 00 | | ?? | ...
+-----+ +-----+ +-----+ +-----+ +-----+ +-----+
关于windows - 这段汇编代码在做什么 - 写入进程内存,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56655770/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
在MRIRuby中我可以这样做:deftransferinternal_server=self.init_serverpid=forkdointernal_server.runend#Maketheserverprocessrunindependently.Process.detach(pid)internal_client=self.init_client#Dootherstuffwithconnectingtointernal_server...internal_client.post('somedata')ensure#KillserverProcess.kill('KILL',